理解Cisco PIX 防火牆的轉換和串連

來源:互聯網
上載者:User

  1.ASA安全等級

  預設情況下,Cisco PIX防火牆將安全等級應用到每一個介面。越安全的網路段,全層級越高。安全等級的範圍從0~100,預設情況下,安全等級0適應於e0,並且它的預設名字是外部(outside),安全等級100適應於e1.並且它的預設名字是inside.使用name if 可以配置附加的任何介面,安全等級在1~99之間

  e.g:

  nameif ethernet0 outside security0

  nameif ethernet1 inside security100

  nameif ethernet2 dmz security50

  1.1自適應安全演算法(ASA)允許流量從高安全等級段流向低安全等級段,不需要在安全性原則中使用特定規則來允許這些串連,而只要用一個nat/global命令配置這些介面就行了。

  1.2同時如果你想要低安全等級段流向一個高安全等級段的流量必須經過安全性原則(如acl或者conduit).

  1.3如果你把兩個介面的安全等級設定為一樣,那流量不能流經這些介面。請記得ASA是cisco pix防火牆上狀態串連控制的關鍵。

  2.傳輸協議

  2.1首先請理解一下OSI的7層模型,說實話,如果你要做IT,那麼這個OSI的7層模型一定要搞懂,也就像windows 的DNS一樣,一定要花工夫在上面。其中1~7是從物理層向上數的,物理層為第一層,應用程式層為第七層。

  應用程式層 資料

  展示層 資料

  會話層 資料

  傳輸層 Segment

  網路層 Packet

  資料連結層 Frame

  物理層 Bit

  2.2瞭解一下TCP/IP

  通俗的講TCP/IP包含兩個傳輸協議TCP,UDP,當然還包括其他,TCP/IP是一個協議族,是對OSI理論的一個實現,是真正應用到網路中的一個工業協議族。

  TCP-它是一個基於串連的傳輸協議,負責節點間通訊的可靠性和效率,通過建立virtual circuits的串連來源端和目的端擔當雙向通訊來完成這些任務,由於開銷很大,所以傳輸速度變慢。UDP-它是一個非串連的傳輸協議,用於向目的端發送資料。

  理解沒有PIX的節點間的TCP通訊(三向交握)

  理解有一個PIX的節點間TCP通訊

  2.3注意預設的安全性原則允許UDP分組從一個高安全等級段送到一個低安全等級段。

  cisco pix 防火牆用下列的方法來處理UDP流量:

  2.3.1源及其開始UDP串連,Cisco pix防火牆接收這個串連,並將它路由到目的端。Pix應用預設規則和任何需要的轉換,在狀態表中建立一個會話對象,並允許串連通過外部介面。

  2.3.2任何返迴流量要與繪畫對象匹配,並且應用會話逾時,預設的會話逾時是2分鐘.如果響應不匹配會話對象,或者逾時,分組就會被丟棄,如果一切匹配,就會允許響應訊號傳送到發送請求的源端



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。